Plateforme
wordpress
Composant
rencontre
Corrigé dans
3.13.8
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Rencontre de Jacques Malgrange pour WordPress. Cette faille permet à un attaquant d'exploiter une XSS stockée, compromettant potentiellement la sécurité des utilisateurs. Les versions de Rencontre concernées vont de n/a jusqu'à la version 3.13.7. Une version corrigée, la 3.13.8, est désormais disponible.
L'exploitation réussie de cette vulnérabilité CSRF avec XSS stockée permet à un attaquant d'injecter du code JavaScript malveillant dans le plugin Rencontre. Ce code peut être exécuté dans le contexte du navigateur de l'utilisateur, lui permettant de voler des cookies de session, de modifier le contenu du site web, ou de rediriger l'utilisateur vers des sites malveillants. L'attaquant peut ainsi compromettre les données sensibles des utilisateurs et prendre le contrôle de leur compte. Le risque est accru si le plugin est utilisé dans des environnements où des informations confidentielles sont traitées.
Cette vulnérabilité a été publiée le 9 décembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature CSRF et de la nécessité d'une interaction utilisateur pour déclencher l'attaque. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress websites utilizing the Rencontre plugin, particularly those with user roles that have administrative privileges, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'rencontre/plugin.php' /var/www/html/
wp plugin list | grep rencontre• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/rencontre/plugin.php | grep -i '3.13.7'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Rencontre vers la version 3.13.8 ou supérieure. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires, telles que l'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes CSRF suspectes. Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas possible immédiatement. Après la mise à jour, vérifiez l'intégrité du plugin en comparant le hachage des fichiers avec celui fourni par le développeur.
Mettre à jour vers la version 3.13.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67534 is a Cross-Site Request Forgery (CSRF) vulnerability in the Rencontre WordPress plugin allowing Stored XSS. It affects versions 0.0.0–3.13.7.
You are affected if your WordPress site uses the Rencontre plugin and is running version 3.13.7 or earlier. Upgrade to 3.13.8 to resolve the issue.
Upgrade the Rencontre WordPress plugin to version 3.13.8 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the vulnerability's potential impact warrants immediate attention and remediation.
Refer to the official Rencontre plugin documentation and WordPress security announcements for the latest advisory and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.